HTTPS查询字符串是否安全？ [英] Is an HTTPS query string secure?

问题描述

我正在创建一个使用HTTPS的基于Web的安全API;但是，如果我允许用​​户使用查询字符串配置它（包括发送密码）这也是安全的，还是应该通过POST强制它？

I am creating a secure web based API that uses HTTPS; however, if I allow the users to configure it (include sending password) using a query string will this also be secure or should I force it to be done via a POST?

推荐答案

是的，确实如此。 但是对于敏感数据使用GET是一个坏主意有几个原因：

Yes, it is. But using GET for sensitive data is a bad idea for several reasons:

• 主要是HTTP引用漏洞（外部目标页面中的图像可能泄漏密码[1]）


• 密码将存储在服务器日志中（显然很糟糕）


• 历史缓存在浏览器中

因此，即使Querystring受到保护，也不建议通过查询字符串传输敏感数据。

Therefore, even though Querystring is secured it's not recommended to transfer sensitive data over querystring.

[1]虽然我需要注意RFC规定浏览器不应该将引用从HTTPS发送到HTTP。但这并不意味着糟糕的第三方浏览器工具栏或来自HTTPS站点的外部图像/闪存不会泄漏它。

这篇关于HTTPS查询字符串是否安全？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！